×

مقاله آموزشی شیوه ها و روشهای مختلف درزمینه آموزش زبان انگلیسی

شما اینجا هستید :

مباحث مدیریت امنیت اطلاعات ISO 27001

بازدید : 59 دسته :
تعریف سیستم یا System و استاندارد سیستم به معنی مجموعه ای از اجزاء است که برای رسیدن به هدف خاصی در کنار هم جمع شده اند. در واقع سیستم مدیریت امنیت اطلاعات نیز از مجموعه ای از اجزاء تشکیل شده است که برای رسیدن به هدف خاصی که در اینجا برقراری و مدیریت امنیت اطلاعات سازمان یا شرکت شما می باشد در کنار هم جمع شده اند. سیستم مدیریت امنیت یک ساختار استاندارد و تعریف شده است و این بدین معنا می باشد که ما به خودی خود نمی توانیم تعیین کنیم چگونه اطلاعات بایستی امن شوند و یک معیار و پایه و اساس برای اینکار بایستی تعریف شود. تعریف کردن این معیارها بر عهده یک سازمان بین المللی است که استانداردها در آن تهیه و تنظیم می شوند و این سازمان جایی نیست به غیر از سازمان ISO یا International Standardization Organization ، این سازمان وظیفه تدوین استاندارد های یکپارچه در دنیا را بر عهده دارد ، تا به حال هر استانداردی که شنیده اید در این سازمان تعریف و تدوین شده است ، قطعا با ISO 9000 یا استاندارد کیفیت کالا آشنایی دارید ، همین نوع استاندارد برای مدیریت سیستم امنیت اطلاعات با کد ISO 27000 تعریف شده است که در ادامه با آن آشنا خواهید شد.

ساختار یک استاندارد به چه شکل است ؟

همه استانداردها ساختاری شبیه به هم دارند اما از نظر محتوایی متفاوت هستند. در همه استانداردهای بین المللی ISO یک سری کنترل وجود دارد که بیانگر معیارهایی است که برای پیاده سازی استانداردها مورد نیاز است ، برای مثال یکی از کنترل های سیستم مدیریت امنیت اطلاعات این است که بایستی بر روی امنیت فیزیکی درب های ورود و خروج ساختمان کنترل انجام شود. بنابراین کنترل ها معیار را برای ما تشریح می کنند اما چگونگی انجام شدن آن را تعریف نمی کنند و این یک اصل است. هر استانداردی برای خود دارای یک سری کنترل است که در قالب سرفصل هایی ارائه می شوند. همیشه در تمامی سازمان ها لازم نیست تمامی این معیارها رعایت شود تا بتوانید سیستم مدیریتی خود را پیاده سازی کنید ، شما بر حسب سرویس و نیازی که دارید از بین این کنترل ها ، آنهایی که در محیط شما قابل استفاده هستند را انتخاب و شروع به پیاده سازی می کنید. اما بعد از اینکه شما از بین کنترل های موجود ، آنهایی که مورد نیازتان هستند را انتخاب کردید ، بایستی آنها را بصورت مدون و مرتب تشریح کنید و بر حسب نیاز خودتان آن را بهینه سازی و تدوین کنید . بعد از اینکه تمامی این مراحل انجام شد یک مستند متنی به وجود می آید که به آن خط مشی یا Policy گفته می شود و شما ساختار استاندارد سازمان را بر اساس آن تعریف می کنید. خط مشی امنیت اطلاعات که به بیانیه امنیت اطلاعات نیز معروف است در واقع الگوی اصلی است که شما در حوزه امنیت اطلاعات برای سازمان خود تدوین می کنید تا بر اساس آن امنیت اطلاعات خود را مدیریت کنید. توجه کنید که در این مستند چگونگی برقراری امنیت تشریح نشده است ، چگونگی انجام و پیاده سازی امنیت در مستندی جداگانه به نام دستورالعمل امنیت اطلاعات تشریح می شود.

فواید استفاده از سیستم مدیریت امنیت اطلاعات ( ISMS ) چیست ؟

طبیعی است که شما زمانیکه به یک کشور خارجی سفر می کنید یکی از مهمترین معیارها برقرار بودن امنیت در آن کشور است ، همین موضوع باعث ترقیب شدن توریست ها برای سفر کردن و سرمایه گذاری در آن کشور می شود . در خصوص سازمان ها هم به همین شکل است ، اگر سازمانی بتواند سیستم مدیریت امنیت اطلاعات را به درستی پیاده سازی و مدیریت کند تجارتی دائمی و همراه با ریسک کمتر خواهد داشت ، تصور کنید شخصی قصد سرمایه گذاری در یک شرکت را دارد ، اگر این شرکت که در کار تولید مواد اولیه رنگ پلاستیک است فرمول ساخت رنگ را به درستی امن نگاه ندارد و رقیبان تجاری آن فرمول را بدست بیاورند این شرکت دچار تهدید و در نهایت ممکن است بازار کار خود را از دست بدهد ، بنابراین سیستم مدیریت امنیت اطلاعات ( ISMS) بصورت کلی باعث اطمینان از تداوم تجارت و کاهش صدمات توسط ایمن ساختن اطلاعات و کاهش تهدیدها می شود.پیاده سازی سیستم مدیریت امنیت اطلاعات علاوه بر موارد بالا می تواند باعث اطمینان از سازگاری با استانداردهای امنیت اطلاعات و محافظت از داده ها ، قابل اطمینان کردن تصمیم گیری ها و محک زدن سیستم مدیریت امنیت اطلاعات ، ایجاد اطمینان نزد مشتریان و شرکای تجاری ،امکان رقابت بهتر با سایر شرکت ها و ایجاد مدیریت فعال و پویا در پیاده سازی امنیت داده ها و اطلاعات شود.

سیستم مدیریت امنیت اطلاعات یا ISMS شامل چه مستنداتی است ؟

همانطور که اشاره کردیم ، سیستم مدیریت امنیت اطلاعات به خودی خود یک مستند متنی است که بایستی بر اساس آن سازمان ها ساختار خود را پیاده سازی کنند. در ادامه گفتیم که از بین کنترل های موجود بایستی کنترل های متناسب با سازمان خود را انتخاب کنیم و مستند متنی به عنوان خط مشی امنیت تدوین کنیم. در نهایت پیاده سازی سیستم مدیریت امنیت اطلاعات منجر به تولید چندین مستند متنی می شود که به نوع می توان گفت ISMS دارای کاغذ بازی زیادی است. اما این مستندات چه هستند و چند نوع از این مستندات بایستی در یک ساختار مدیریت امنیتی درست وجود داشته باشد ؟ بر اساس استانداردهای مدیریت امنیت اطلاعات و ارتباطات ، هر دستگاه یا سازمان باید مجموعه مستندات مدیریت امنیت اطلاعات و ارتباطات را به شرح زیر، برای خود تدوین نماید:
  • مستند اهداف، راهبردها و سیاستهای امنیتی فضای تبادل اطلاعات دستگاه ( Security Policy )
  • مستند طرح تحلیل مخاطرات امنیتی فضای تبادل اطلاعات دستگاه ( Risk Assessment )
  • مستند طرح امنیت فضای تبادل اطلاعات دستگاه
  • مستند طرح مقابله با حوادث امنیتی و ترمیم خرابیهای فضای تبادل اطلاعات دستگاه ( Disaster Recovery)
  • مستند برنامه آگاهی رسانی امنیتی به پرسنل دستگاه ( Awareness )
  • مستند برنامه آموزش امنیتی پرسنل تشکیلات تامین امنیت فضای تبادل اطلاعات دستگاه
 

مراحل پیاده سازی و دریافت استاندارد ISO 27001 یا ISMS چیست ؟

 
  1. سازمان قصد به دریافت استاندار ISO 27001 می گیرد . ( نیت می کنیم )
  2. این قصد را با یک شرکت مشاور در زمینه پیاده سازی سیستم مدیریت امنیت اطلاعات ISMS در میان می گذارد.
  3. شرکت مشاور در جلسه هیات مدیره خط مشی امنیتی را مشخص می کند .
  4. بر اساس کنترل های امنیتی کلیه نیاز های امنیتی مربوط به سازمان مطابق با استاندارد ISO 27001 پیاده سازی می شود .
  5. قبل از اینکه سر ممیز اصلی ( Lead Auditor) از نماینده بین المللی ارائه مدارک ISO یا اصطلاحا CB در محل حضور پیدا کند خود شرکت مشاور از یک گروه با عنوان ممیز داخلی ، بازرسی های لازم را انجام می دهند .
  6. از یک سر ممیز بین المللی که به عنوان نماینده یک مرکز صدور گواهی مانند TUV یا DNV هستند دعوت می شود برای انجام بازرسی های لازم.
  7. در صورت تایید صلاحیت و کسب حداقل امتیازات لازم ، گواهینامه صادر می شود.
 

مشکلات معمول در پیاده سازی سیستم مدیریت امنیت اطلاعات ( ISMS )

  • بایستی توجه کرد که امنیت یک فرهنگ است قبل از آنکه یک فناوری باشد. براین اساس پیاده سازی مدیریت امنیت قبل ازخرید تجهیزات امنیتی توصیه می گردد. وقتی امنیت فرهنگ باشد عمری لازم است تا یک فرهنگ ایجاد شود و جا بیفتد. وقتی امنیت فرهنگ باشد نمی توان فرهنگ سازی سازمانی بومی شده در یک کشور پیشرفته اروپایی را به سادگی در یک مرحله ضربتی به یک سازمان دیگر وارد نمود. این یکی از اصلی ترین موانع در پیاده سازی استانداردهای مدیریت امنیت است.
 
  • امنیت تداوم می خواهد. حتی اگر موفق شویم در یک سازمان سیستم مدیریت امنیت را پیاده سازی نموده و گواهی استاندارد مربوطه را هم در یک مرحله اخذ نمائیم؛ عدم تداوم آن هیچ آورده ای را از نظر امنیتی برای سازمان نخواهد داشت. بنابراین همیشه در استانداردهای بین المللی از چرخه ای به نام چرخه دمینگ یا PDCA که یک چرخه مدور و دائمی است برای طراحی ، انجام ، آزمایش و اعمال مجدد طراحی استفاده می شود.
   
  • ناامنی تداوم دارد. چون ناامنی تداوم دارد بایستی امن سازی و تفکرامنیت در همه شئون سازمان تداوم داشته باشد و اعتبار مداوم و سالیانه داشته باشد. مدیران سازمانی ما احساس نا امنی مداوم از فضای تبادل اطلاعات خود ندارند و یا مایملک اطلاعاتی ذی قیمتی را در معرض تهاجم نمی بینند. بر این اساس،حمایت جدی و همه جانبه از پیاده سازی و تداوم استانداردهای مدیریت امنیت ندارند.
 
  • امنیت نا محسوس است. لذا وقتی یک پروژه امنیتی (از نوع مدیریت امنیت)انجام می شود بعضاً مدیریت و کارشناسان احساس می کنند که هیچ اتفاق جدیدی نیفتادهاست و ممکن است گلایه کنند که چرا هزینه نموده اند. در پاسخ به این گلایه باید فکرکرد که اگر روی امنیت کار نمی شد چه اتفاقی ممکن بود بیفتد. پس باید در هر زمان ودر هر مکان از فضای تبادل اطلاعات سازمانی به فکر امنیت بود.ITPro باشید.
در Wikipedia استاندارد مورد نظر را به شرح ذیل معرفی می نماید و پس از آن به شرح کل موضوع خواهیم پرداخت.   مجموعه ۲۷۰۰۰ ISO/IEC که تحت عنوان “خانواده استاندارد “ISMS یا به اختصار “ISO27k" شناخته شده‌است، شامل استانداردهای امنیت اطلاعات به طور مشترک توسط سازمان بین‌المللی استانداردسازی (ISO) و کمیسیون علوم الکترونیکی بین‌المللی (IEC) منتشر شده‌است. این مجموعه بهترین توصیه‌ها را بر پایه تجربیات عملی در مدیریت امنیت اطلاعات، ریسک و کنترل را در کلیه ابعاد سیستم مدیریت امنیت اطلاعات(ISMS) بیان می‌کند. به علاوه توصیه‌های مشابهی نیز در طراحی سیستم‌های مدیریت تضمین کیفیت (سری (ISO9000 و حفاظت از محیط زیست سری ISO14000. این سری به طور عمدی در حوزه کاری گسترده است؛ بدین دلیل که زمینه‌های دیگری غیر از حریم خصوصی، محرمانه بودن و مسائل امنیتی فنی و/یا IT را پوشش دهد. این استاندارد قابلیت اعمال به تمام سازمان با اندازه‌ها و اشکال مختلف را داراست. بسیاری از سازمان‌ها بر آن هستند که به ارزیابی خطرات امنیتی اطلاعات خود بپردازند، و سپس به پیاده سازی کنترل مناسب جهت تامین امنیت اطلاعات با توجه به نیاز خود می‌پردازند، که با استفاده از راهنمایی‌ها و پیشنهادها در زمینه‌های مربوطه انجام می‌پذیرد. با توجه به ماهیت پویای امنیت اطلاعات، ISMS روش‌های بازخورد و بهبود مستمر را (که به طور خلاصه رویکرد "طرح، اجرا، بررسی، اعمال” دمینگ خوانده می‌شود) به کار می‌برد، که تغییرات در تهدید، آسیب پذیری و یا اثرات حوادث امنیت اطلاعات را هدف می‌گیرد. این استانداردهای محصولISO/IEC JTC1 کمیته فنی الحاقی ۱، SC27 زیر کمیته ۲۷ و یک نهاد بین‌المللی است که دو بار در سال نشست خواهند داشت می‌شود. در حال حاضر، یازده استاندارد از این مجموعه منتشر شده و قابل دسترس است. این در حالی است که تعداد بیشتری نیز در حال توسعه و آماده سازی است. استانداردهای اصلی ISO/IEC به طور مستقیم توسط ISO به فروش می‌رسد. در عین حال این مجموعه توسط نهادهای مختلف ارائه دهنده استانداردها (حتی با زبان‌های غیر انگلیسی) قابل دستیابی است. استانداردهای منتشر شده
  • ایزو ۲۷۰۰۰ سیستم‌های مدیریت امنیت اطلاعات - مرور و لغتنامه
  • ایزو ۲۷۰۰۱ سیستم‌های مدیریت امنیت اطلاعات - نیازمندی‌ها
  • ایزو ۲۷۰۰۲ راهنمای عملی مدیریت امنیت اطلاعات
  • ایزو ۲۷۰۰۳ راهنمای پیاده سازی سیستم‌های مدیریت امنیت اطلاعات
  • ایزو ۲۷۰۰۴ سیستم‌های مدیریت امنیت اطلاعات - اندازه گیری
  • ایزو ۲۷۰۰۵ مدیریت خطر امنیت اطلاعات
  • ایزو ۲۷۰۰۶ نیازمندی‌های اشخاص بازرس و صادرکنندگان گواهی سیستم‌های مدیریت امنیت اطلاعات
  • ایزو ۲۷۰۱۱ خط مشی‌های مدیریت امنیت اطلاعات برای سازمان‌های مخابراتی بر اساس ایزو ۲۷۰۰۲
  • ایزو ۲۷۰۳۱ خط مشی آماده سازی تکنولوژی اطلاعات و مخابرات برای ادامه کسب و کار
  • ایزو ۲۷۰۳۱-۱ مقدمه و مفاهیم امنیت شبکه
  • ایزو ۲۷۰۳۵ مدیریت حوادث امنیتی
  • ایزو ۲۷۷۹۹ مدیریت امنیت اطلاعات در سلامت با استفاده از ایزو ۲۷۰۰۲
استانداردهای در حال آماده سازی
  • ISO/IEC 27007 راهنمای بازرسی سیستم‌های مدیریت امنیت اطلاعات (با تاکید بر سیستم‌های مدیریت)
  • ISO/IEC 27008 راهنمای کنترل‌های ISMS برای بازرسان (با تاکید بر کنترل‌های امنیت اطلاعات)
  • ISO/IEC 27013 راهنمای پیاده سازی ترکیبی ایزو ۲۰۰۰۰-۱ و ایزو ۲۷۰۰۱
  • ISO/IEC 27014 چهارچوب اعمال امنیت اطلاعات
  • ISO/IEC 27015 راهنمای مدیریت امنیت اطلاعات برای بخش‌های بیمه‌ای و مالی
  • ISO/IEC 27032 راهنمای امنیت سایبری
  • ISO/IEC 27033 امنیت شبکه IT، سک استاندارد چند بخشی بر پایه ایزو ۱۸۰۲۸:۲۰۰۶ قسمت اول این استاندارد منتظر شده‌است
  • ISO/IEC 27034 راهنمای امنیت کاربردی
  • ISO/IEC 27036 راهنمای امنیت روش‌های برون سپاری
  • ISO/IEC 27037 راهنمای تشخیص، جمع آوری و/یا کسب و نمایش مدارک دیجیتال
 
  • ایزو ۲۷۰۰۱ به انگلیسی: ISO/IEC 27001‏ قسمی از استانداردهای خانواده ISO/IEC 27000 استاندارد سیستم مدیریت امنیت اطلاعات (ISMS) است که در سال ۲۰۰۵ توسط سازمان بین المللی استانداردها (ISO) و کمیسیون برق بین المللی است. نام کامل این استاندارد بدین صورت است:
 
  • ISO/IEC 27001:2005 – تکنولوژی اطلاعات تکنیک‌های امنیت سیستم‌های مدیریت امنیت اطلاعات نیازمندی ها.
  • ISO/IEC 27001 به طور رسمی یک سیستم مدیریت را تعیین می‌کند که هدف آن تامین امنیت اطلاعات است که در تحت شرایط کنترل مدیریت خاص امکان پذیر است. تعیین رسمی بدین معناست که این استاندارد یک سری از برآوردن نیازمندی‌ها را الزام می‌کند و سرپیچی از این قوانین جرم محسوب می‌شود.
  طریقه عملکرد استاندارد بسیاری از سازمان‌ها یک سری کنترل‌های امنیت اطلاعات برای خود تعیین می‌کنند. با این حال، بدون سیستم مدیریت امنیت اطلاعات (ISMS)، کنترل حدودی بی سامانی و عدم یکپارچگی می‌انجامد. این سیستم را می‌توان به صورت راه حل‌های نقطه‌ای (برای شرایط خاص) و یا به طور سرتاسری مثل قانون کنوانسیون پیاده سازی کرد. به طور معمول کنترل‌های امنیتی در عمل جنبه‌های خاصی از امنیت IT و/یا داده‌ها را هدف قرار می‌دهد؛ و اطلاعات و جنبه‌های غیر IT مانند کارهای اداری و اطلاعات خصوصی شرکت) کمتر محافظت می‌شوند. علاوه بر این، برنامه ریزی کسب و کار و حفاظت فیزیکی کاملاً به طور مستقل از IT و/یا امنیت اطلاعات اداره می‌شود، در حالی که معمولاً در سازمان، مرجعی که نیاز به تعریف و اختصاص دادن امنیت اطلاعات در نقش‌ها و مسئولیت‌های منابع انسانی داشته باشد وجود ندارد. ISO/IEC 27001 مستلزم مدیریت موارد زیر است:
  • بررسی سیستماتیک خطرات امنیتی اطلاعات سازمان، با در نظر گرفتن تهدیدها، آسیب پذیری‌ها، و اثرات و عواقب؛
  • طراحی و پیاده سازی یک مجموعه منسجم و جامع از کنترل امنیت اطلاعات و/یا دیگر اشکال مقابله با خطر مانند پیشگیری ازخطرات یا انتقال ریسک؛ بیمه برای هدف قرار دادن آن دسته از خطراتی که اجتناب ناپذیر تلقی می‌شوند؛
  • انطباق یک پروسه مدیریت فراگیر به سازمان از تداوم کنترلهای امنیتی اطمینان حاصل شود. تا گسترش و پیشروی سازمان به جلو، همیشه نیازهای امنیتی اطلاعات سازمان رفع شود.
در حالی که ممکن است به غیر از (یا به جای) ISO/IEC 27002 (کد از تمرین برای مدیریت امنیت اطلاعات) مجموعه دیگری از کنترل‌های امنیت اطلاعات به طور بالقوه تحت لوای ISO/IEC 27001 ISMS به کار گرفته شوند، ولی معمولاً این دو استاندارد در کنار هم استفاده می‌شود. ضمیمه A در ISO/IEC 27001 فهرستی خلاصه از کنترل‌های امنیتی اطلاعات موجود در ISO/IEC 27002را بیان می‌کند. این در حالی است که ISO/IEC 27002 اطلاعات بیشتر و راهنمایی‌های پیاده سازی را فراهم می‌کند. سازمان‌هایی که مجموعه‌ای از کنترل‌های امنیت اطلاعات را مطابق با ISO/IEC 27002 پیاده سازی کرده‌اند، به احتمال زیاد، همزمان تمایل به اجرای بسیاری از الزامات ISO/IEC 27001 را دارند. اما ممکن است برخی از المان‌های سیستم مدیریت فراگیر را اجرا نکرده باشند. برعکس این قضیه نیز درست است، به عبارت دیگر، یک گواهی تضمین مطابق با ISO/IEC 27001 اطمینان می‌دهد که پیاده سازی سیستم مدیریت در زمینه امنیت اطلاعات تضمین شده‌است. ولی در مورد وضعیت مطلق امنیت اطلاعات در درون سازمان اطلاعات کمی را در اختیار ما قرار می‌دهد. کنترل‌های امنتی تکنیکی، مثل ضدویروس‌ها و دیوارهای آتش، به طور عادی در ISO/IEC 27001 مورد بحث نیستند: در این استاندارد پیشفرض آن است که سازمان همه کنترل‌های امنیتی لازم برای ISMS را به طور کلی در در حال اجرا دارد و تنها برآورده کردن الزامات ISO/IEC 27001 باقی مانده‌است. به علاوه، این سیستم مدیریت، حوزه‌هایی از ISMS را که جهت صدور گواهینامه (که ممکن است آن را به یک واحد کسب و کار نیز محدود کند) لازم هستند را مشخص می‌کند. گواهی ISO/IEC 27001 لزوما به معنای آن نیست که قسمت‌هایی از سازمان که در خارج از حوزه گواهینامه هستند، نیز رویکرد کافی برای مدیریت امنیت اطلاعات را دارا هستند. استانداردهای دیگر خانواده ISO/IEC 27000 به ارائه راهنمایی‌های اضافی در جنبه‌های خاصی از طراحی، پیاده سازی و اجرای ISMS (برای مثال خطر در مدیریت امنیت اطلاعات ISO/IEC 27005) می‌پردازند مبدا استاندارد ISO/IEC 27001 BS 7799 استانداردی میباشد که در سال ۱۹۹۵ برای اولین بار توسط BSI Group (گروه استانداردهای انگلستان) ایجاد شد. این استاندارد توسط دپارتمان صنعت و تجارت (DTI) دولت بریتانیا نوشته شد و شامل چندین بخش است. اولین بخش شامل بهترین تجربیات مدیریت امنیت اطلاعات است و در سال ۱۹۹۸ بازبینی شد. پس از مباحثات بسیار بین صاحبان استاندارد در جهان، این استاندارد در سال ۲۰۰۰ توسط بنیاد ISOتحت عنوان ISO/IEC 17799 انطباق لازم را پیدا کرد. این استاندارد نام ”تکنولوژی اطلاعات – کد تجربی مدیریت امنیت اطلاعات“ را با خود حمل می‌کرد. استاندارد ISO/IEC 17799 در جوئن ۲۰۰۵ بازبینی شد و در نهایت در سا ل۲۰۰۷ تحت عنوان ISO/IEC 27002 در سری استانداردهای ISO 27000 جای گرفت. قسمت دوم BS7799 برای اولین بار در سال ۱۹۹۹ توسط BSIو با کد ” BS7799 – قسمت ۲“تحت عنوان ”سیستم‌های مدیریت امنیت اطلاعات – مشخصات، به همراه راهنمای کاربرد“ منتظر شد. BS 7799-2 بر چگونگی پیاده ساری یک سیستم مدیریت امنیت اطلاعات (ISMS) تمرکز دارد. این استاندارد بعداً به استاندارد ISO/IEC 27001 تبدیل شد. نسخه ۲۰۰۲ استاندارد BS 7799-2 به معرفی چرخه ”برنامه ریزی، اجرا، بررسی، پیاده سازی“ (PDCA) پرداخت که بر محور استانداردهای کیفیت مثل ISO 9000 بنا نهاده شده بود. در نوامبر ۲۰۰۵ این استاندارد توسط بنیاد ISO با ISO/IEC 27001 منطبق شد. ISO/IEC 27001 قسمت ۳ نیز در سال ۲۰۰۵ منتشر شد که مدیریو تحلیل خطر را پوشش می‌داد. این استاندارد نیز بعداً با ISO/IEC 27001 منطبق شد. گواهینامه تعدادی از ثبت کننده‌های معتبر جهانی می‌توانند برای یک ISMS گواهی انطباق با استاندارد ISO/IEC 27001 را صادر کنند. دریافت هر نوع از نسخه‌های ملی شده (در کشورهای مختلف) استاندارد۲۷۰۰۱ (مثل نسخه ژاپنی آن؛ یعنی JIS Q 27001) توسط ثبت کننده‌های معتبر جهانی، با دریافت استاندارد ISO/IEC 27001 معادل است. در برخی کشورها، آن دسته از شخصیت‌های حقوقی که انطباق سیستم مدیریت با با استانداردهای خاص ارزیابی می‌کنند، ”گواهی دهنده“ اتلاق می‌شود، در حالی که در برخی دیگر از کشورها ”ثبت کننده“ یا عناوین دیگر اتلاق می‌شود. گواهی ISO/IEC 27001 مثل دیگر گواهی‌های سیستم مدیریت ISO معمولاً شامل وارسی خارجی سه مرحلهای است:
  • مرحله ۱: مرور مقدماتی و تهیه گزارش ISMS است. مثلاً بررسی وجود و کامل بودن اسناد و مدارک کلیدی، مثل سیاست امنیتی اطلاعات سازمان، منشور کاربردیات (SoA) و برنامه رفع خطر (RTP). هدف این مرحله شناساندن افراد با سازمان و برعکس است.
  • مرحله ۲: یک ممیزی انطباق دقیق تر و رسمی تر است که به طور مستقل ISMS را بر اساس الزامات مشخص شده در ISO/IEC 27001 بررسی می‌کند. حسابرسان به دنبال شواهدی برای تایید طراحی و پیاده سازی و بهره برداری صحیح سیستم مدیریت هستند (مثلاً تایید این که ”کمیته امنیت“و یا یک شخصیت حقوقی مشابه، به طور منظم برای نظارت بر ISMS سیستم را بازبینی می‌کند). گذراندن این مرحله نشان دهنده سازگاری ISMS با گواهی با ISO/IEC 27001 است.
  • مرحله ۳: شامل بازرسی یا ممیزی‌های متعاقب به منظور تائید ادامه سازگاری و انطباق سازمان با استاندارد است. نگهداری گواهینامه نیازمند ممیزی‌های دوره‌ای برای تائید ادامه فعالیت ISMS بر اساس مشخصه‌ها و اشارات استاندارد است. این عمل باید حداقل سالی ۱ مرتبه انجام انجام شود، ولی (با تفاوق طرفین) می‌تواند به دفعات بیشتر نیز انجام شود؛ خصوصاً در زمانی که ISMS هنوز در پیاده سازی استاندارد به تکامل نرسیده‌است.
  مطالب فوق برگرفته شده از سایت Wikipedia بود.         در حال حاضر به شرح قدم به قدم آن می پردازیم مقدمه:
  • اطلاعات ( مانند سایر دارائی‌های سازمانی ) به عنوان یک دارائی مهم و باارزش برای هر سازمان به حساب می‌آید و در نتیجه نیازمند ارائه راهکارهای حفاظتی لازم برای نگهداری آنها ، می‌باشند .
  • استاندارد ISO 27001 تامین کننده یک سری از ابزارهای سازگار با یکدیگر برای سنجش مدیریت امنیت اطلاعات در هر سازمان با هر نوع کار یا حجم سازمان می باشد. این گواهینامه می‌تواند برای یک سازمان یا بخشی از آن دریافت و سپس در سازمان گسترش و بخش‌های دیگر را دربرگیرد.
  • موسسات ISO و IEC از موسسات بین‌المللی تدوین استاندارد در سطح جهانی می‌باشند که کمیته مشترکی را به نام JTC1 برای تدوین استانداردها تشکیل داده‌اند .
  • استاندارد بین‌المللی ISO/IEC 17799 برای اولین بار توسط موسسه استاندارد انگلستان ارائه شد و سپس توسط JTC1 پذیرفته شد .
 
  • سه اصل مهم در امنیت اطلاعات عبارتند از :
    • محرمانگی : اطمینان از اینکه اطلاعات فقط در دسترس افراد مجاز قرار دارد
    • صحت : تامین صحت ، دقت و کامل بودن اطلاعات و روش‌های پردازش آنها
    • دسترس پذیری : اطمینان از اینکه کاربران مجاز در صورت نیاز به اطلاعات و دارائی‌های مربوطه به آنها دسترسی دارند .
  • امنیت اطلاعات به وسیله اجرای یکسری از کنترل‌های مناسب ، حاصل خواهد شد. این کنترل‌ها میتوانند به صورت خط‌مشی‌ها ، رویه‌ها ، ساختارهای سازمانی و یا نرم‌افزارهای کاربردی باشند . این کنترل‌ها برای اطمینان از برآورده شدن اهداف امنیتی سازمان بایستی اجرا گردند .
 
  • بر اساس استاندارد ISO 27001 در کنار دیگر سیستمهای مدیریت به خصوص استاندارد ۹۰۰۱ISO و تحت نظارت و مدیریت مستقیم مدیریت ارشد سازمان مستقر می‌گردد.
  • تامین کننده امنیت اطلاعات سازمان
  • مبتنی بر رویکرد فرآیندی است
  • این سیستم برای پیاده سازی از استانداردها و متدولوژی های گوناگونی مانند
BS 7799 و ISO/IEC 17799 و ISO 15408(معیار های عمومی برای فنآوری اطلاعات ) بهره می گیرد   قسمتی از سیستم مدیریت کلی، برپایه روش ریسک کاری ، جهت تاسیس، پیاده سازی، عملکرد، نظارت، مرور ، نگهداری ، و بهبود امنیت اطلاعات است. استاندارد ISO/IES 27001:2005 مدلی برای برپائی ISMS موثر فراهم می کند. * منظور از مدیریت کلی ، رعایت سایر استانداردها می باشد. ISMS
  • مشخصه ای برای مدیریت امنیت اطلاعات
  • دستورالعمل مدیریت امنیت اطلاعات
  • پایه ای برای ارتباط قراردادی
  • پایه گواهینامه شخص ثالث
  • قابلیت کاربرد برای تمامی بخشهای صنعت
  • تاکید بر پیش گیری
  سری استانداردهای ISO/IEC 2700k
  • ISO/IEC 27001:2005, Information security management systems — Requirements
سیستم های مدیریت امنیت اطلاعات – نیازمندی ها
  • ISO/IEC 27002:2005, Code of practice for information security management
آئین نامه کاری مدیریت امنیت اطلاعات
  • ISO/IEC 27003, Information security management system implementation guidance
راهنمای پیاده سازی سیستم مدیریت امنیت اطلاعات
  • ISO/IEC 27004, Information security management — Measurement
مدیریت امنیت اطلاعات - سنجش
  • ISO/IEC 27005:2008, Information security risk management
مدیریت مخاطرات امنیت اطلاعات
  • ISO/IEC 27006:2007, Requirements for bodies providing audit and certification of information security management systems
راهنمای ممیزی سیستم های مدیریت امنیت اطلاعات   مزایای پیاده سازی استاندارد ISO/IEC 27001   
  • نزدیک شدن به وضعیت سیستماتیک و روش مند
  • افزایش تضمین اعتبار قانونی سازمان
  • افزایش جنبه های تداوم کسب وکار
  • شناسائی دارایی های بحرانی از طریق ارزیابی ریسک
  • ایجاد یک ساختار برای بهبود مستمر
  • افزایش شناخت و اهمیت مسائل مربوط به امنیت درسطح مدیریت
  • بومی سازی فرهنگ و دانش امنیت اطلاعات در سازمان
  ارزیابی اولیه از میزان امنیت شبکه و اطلاعات جاری سازمان ( Gap Analyses) ارزیابی اولیه در حوزه های مختلف، با ارائه پرسشنامه
  • حوزه های مرتبط با مدیریت
  • حوزه های مرتبط با آموزش و آگاه سازی
  • حوزه های مرتبط با وابستگی سازمان به کارمندان
  • حوزه های مرتبط با دسترسی و حقوق دسترسی
  • حوزه های مرتبط با رویه های سازمانی
  • حوزه های مرتبط با بازرسی
  • حوزه های مرتبط با خط مشی های امنیتی
  • حوزه های مرتبط با مستندات
  • حوزه های مرتبط با سخت افزار و نرم افزار
  • حوزه های مرتبط با شبکه
حوزه های مرتبط با کاربران   تعیین محدوده استقرار سیستم مدیریت امنیت اطلاعات( SCOPE )   دامنه ومرزهای سیستم مدیریت امنیت اطلاعات بر مبنای ویژگی کسب وکار , سازمان، مکان ، دارائی ها وفن آوری آن تعریف می شود و همچنین جزئیات و توجیه برای کنارگذاری هر چیزی از دامنه را شامل می باشد   تعیین دارائی های (سرمایه های) سازمانی
  • مستندات کاغذی
  • دارائی های اطلاعاتی
  • دارائی های فیزیکی
  • سخت افزار ها
  • نرم افزارها
  • اطلاعات و ارتباطات
  • منابع انسانی
  • خدمات
  تعیین سیاست های امنیتی
  • سیاست‌های امنیتی سرویس‌های فضای تبادل اطلاعات سازمان
  • سیاست‌های امنیتی سخت‌افزارهای فضای تبادل اطلاعات سازمان
  • سیاست‌های امنیتی نرم‌افزارهای فضای تبادل اطلاعات سازمان
  • سیاست‌های امنیتی ارتباطات و اطلاعات فضای تبادل اطلاعات سازمان
  • سیاست‌های امنیتی کاربران فضای تبادل اطلاعات سازمان
  چگونگی تشخیص الزامات امنیتی
  • ریسک های امنیتی
  • الزامات قراردادی وقانونی
  • اصول واهداف والزامات داخلی
  طرح تحلیل مخاطرات امنیتی
  • تجزیه و تحلیل شبکه و تعیین مخاطرات امنیتی
    • معماری شبکه ارتباطی
    • تجهیزات شبکه ارتباطی
    • مدیریت و نگهداری شبکه ارتباطی
    • سرویس های شبکه ارتباطی
    • تشکیلات و روش های تامین امنیت شبکه ارتباطی
  • تعیین آسیب پذیریها
    • شناسائی منابع آسیب پذیری
    • تست امنیتی سیستم
  • تعیین ریسک دارائی ها و فرایندها
  • تعیین آستانه پذیرش ریسک
  • ارائه راه حلهای کلی برای کاهش آسیب پذیری ها ، تهدیدات و ریسک ها
  ارائه طرح جامع امنیت شبکه و اطلاعات ارائه راه حلهای مناسب
  • معماری شبکه
  • پروتکلهای شبکه
  • Server farm
  • Switching
  • ارتباطات
  • امنیت فنی شبکه
  • طرح تهیه نسخ پشتیبان
  • امنیت فیزیکی شبکه
  • سیستمهای کنترل جریان اطلاعات و تکیل نواحی امنیتی
  • ارائه ساختار معماری IP مناسب برای شبکه
  • تهیه خط مشی های مناسب برای شبکه با توجه به نحوه دسترسی به منابع سازمانی
  • ساختار DMZ
  • سرویس Accounting
  • سرویس DNS
  • سرویس FTP
  • Filtering
  • Monitoring
  • Web Cache
  • نرم‌افزارهای تشخیص و مقابله با ویروس
  • سیستم‌های تشخیص هویت، تعیین حدود اختیارات و ثبت عملکرد کاربران
  • سیستم‌های ثبت و تحلیل رویدادنامه‌ها
  • سیستم‌های رمزنگاری اطلاعات
  • نرم‌افزارهای نظارت بر ترافیک شبکه
  • نرم‌افزارهای پویشگر امنیتی
  • نرم‌افزارهای مدیریت امنیت شبکه
  • ................
  • ارائه نمونه های مناسب دستورالعمل پیکربندی امن و چک لیست
    • طراحی ساختار کلی شبکه
    • طراحی ساختار سایت مرکزی
    • طراحی ساختار فیزیکی شبکه
    • تعیین تجهیزات غیرفعال مورد نیاز شامل کابلها ، رکها ، داکتها ، پچ پنل ها ، کیستون ها و ...
    • ساختار آدرس دهی
    • ساختار مسیر یابی
    • ساختار دسترسی به شبکه
    • تجهیزات شبکه
    • سرویس دهنده های شبکه
    • مدیریت و نگهداری شبکه
    • تشریح تغییراتی که همزامان با افزودن سیستم امنیتی در معماری ، تجهیزات ، سرویس دهنده ها و مدیریت شبکه انجام می گیرد
    • تعیین پروتکل­های مورد نیاز شبکه
    • طراحی معماری IP شبکه و تقسیم­بندی آن
    • طراحی ساختار کلی Server Farm
 
  • تعیین سرویس های مورد نیاز جهت نصب روی سرورها
  • تعیین سیستم عامل های مورد نیاز
  • تعیین سرورهای مورد نیاز
  • طراحی ساختار سوئیچنگ شبکه
  • تعیین سوئیچ­های مورد نیاز
  • طراحی ساختار ارتباطی شبکه
  • طراحی ساختار ارتباطی سایت مرکزی
  • طراحی ساختار ارتباطات شبکه داخلی با شبکه­های خارجی مانند شبکه اینترنت، و ....
  • طراحی نحوه برقراری ارتباط کاربران خارجی با شبکه داخلی
  • طراحی ساختار مسیریابی شبکه
  • تعیین تجهیزات مورد نیاز جهت برقراری ارتباطات از جمله روترها، مودم­ها و ....
  • طراحی ساختار مطمئن برای شبکه
  • تعیین تجهیزات امنیتی مورد نیاز شامل : Firewall ، IDS/IDP/IPS ،
  • تعیین تکنولوژیهای امنیتی مورد نیاز شامل : NAT، PAT، IP Sec، VPN، .....
  • طراحی ساختار VLAN مناسب برای شبکه
  • طراحی ساختار DMZ مناسب
  • تعیین سیاست­های امنیتی شبکه
  • تعیین روال­های امنیتی شامل روالهای پیکربندی، روال های دسترسی، روال های مدیریتی، روال­های بروزرسانی، روالهای مستندسازی شبکه
  • تعیین تجهیزات برق اضطراری مورد نیاز
  • تهیه و توسعه محصولات نرم افزاری در صورت نیاز
  • طراحی SAN و NAS در صورت نیاز
  • تعیین Storage Device های مورد نیاز
  • تعیین روالهای تهیه نسخ پشتیبان
  • تعیین محل مناسب جهت سایت مرکزی
  • تعیین تهویه مناسب محل سایت مرکزی
  • تعیین دربهای مخصوص جهت سایت مرکزی
  • تعیین قفلهای الکترونیکی جهت سایت مرکزی
  • تعیین رکهای مناسب در نقاط توزیع
  • تعیین کابل کشی و داکت کشی مناسب از نظر امنیتی در هر بخش
  • تعیین سیستم ضد حریق جهت سایت مرکزی
  • نرم‌افزارهای تشخیص و مقابله با ویروس
  • سیستم‌های تشخیص هویت، تعیین حدود اختیارات و ثبت عملکرد کاربران
  • سیستم‌های ثبت و تحلیل رویداد نامه‌ها
  • سیستم‌های رمزنگاری اطلاعات
  • نرم‌افزارهای نظارت بر ترافیک شبکه
  • نرم‌افزارهای پویشگر امنیتی
  • نرم‌افزارهای مدیریت امنیت شبکه
طرح پشتیبانی از حوادث
  • اجرای طرح امنیت شبکه و اطلاعات ( ISMS )در یک سازمان موجب ایجاد حداکثری امنیت در ساختار شبکه و اطلاعات سازمان خواهد شد . اما با گذشت زمان ، روش های قبلی از جمله نفوذ به شبکه ها تغییر خواهند یافت و سیستم امنیتی شبکه و اطلاعات سازمان بر اساس تنظیمات قبلی قادر به حل مشکلات جدید نخواهند بود . از طرفی دیگر هر روزه آسیب پذیری های جدیدی شبکه و اطلاعات سازمان را تهدید می نمایند و در صورتی که از راه حل های جدید استفاده ننمائیم ، سیستم شبکه و اطلاعات سازمان بسیار آسیب پذیر خواهد شد و عملا فعالیت های چندساله و هزینه های انجام شده در زمینه امنیت شبکه و اطلاعات بی فایده خواهد شد.
  • برای حل مشکلات ذکر شده در سیستم مدیریت امنیت اطلاعات و شبکه ، تشکیلات وطرح های پشتیبانی امنیت ، پیش بینی شده است . مهمترین این روش ها ، طرح پشتیبانی از حوادث می باشد .
 
  • دسته بندی حوادث
حوادث امنیتی به همراه عوامل آنها دسته بندی می‌گردد . برخی از این دسته بندی ها عبارتند از :
  • کدهای مخرب
  • دسترسی غیر مجاز
  • ممانعت از سرویس
  • ..............
  • پاسخ به حوادث
پاسخ گوئی به حوادث یکی از ضروری ترین کارها می باشد چرا که تکرار حملات می تواند منجر به افزایش دامنه خسارات و زیان هایی بر سرمایه های سازمانی گردد . در این قسمت ضرورت‌های پاسخ به حوادث وفواید آن ذکر می گردد.
  • ارائه سیاست ها و رویه های پشتیبانی حوادث
  • ساختار تیم پشتیبانی حوادث
    • معرفی و انتخاب انواع تیم های پشتیبانی حوادث
      • تیم پاسخ به حوادث مرکزی
      • تیم پاسخ به حوادث توزیع شده
      • تیم اطلاع رسانی
    • معرفی و انتخاب پرسنل
  • وظایف تیم پشتیبانی حوادث
    • ارزیابی آسیب پذیری ها
    • تشخیص تهاجم
    • آموزش
    • اطلاع رسانی
 
  • فاز های مختلف این متدولوژی عبارتند از :
    • آماده سازی
    • تشخیص و تحلیل
    • محدود سازی ، ریشه کنی و ترمیم
    • فعالیت های بعد از ترمیم
 
  • با توجه به خروجی فاز های قبلی ، آندسته از کنترل های استاندارد ISO 27001 که برای سازمان مناسب می باشند انتخاب می گردد.
سپس ارتباط این کنترل ها و راهکار های ارائه شده در فاز قبلی مشخص می گردد بعبارتی راهکار های لازم برای پیاده سازی کنترل های انتخابی ارائه میگردد .   اجزاء و ساختار تشکیلات امنیت اطلاعات سازمان
  • متشکل از سه جزء اصلی به شرح زیر می باشد:
    • در سطح سیاستگذاری: کمیته راهبری امنیت فضای تبادل اطلاعات دستگاه
    • در سطح مدیریت اجرائی: مدیر امنیت فضای تبادل اطلاعات دستگاه
    • در سطح فنی: واحد پشتیبانی امنیت فضای تبادل اطلاعات دستگاه
 
  • شرح وظایف کمیته راهبری امنیت
    • بررسی، تغییر و تصویب سیاستهای امنیتی
    • پیگیری اجرای سیاستهای امنیتی از مدیر امنیت
    • تائید طرح‌ها و برنامه‌های امنیت سازمان شامل:
      • طرح تحلیل مخاطرات امنیتی
      • طرح امنیت شبکه
      • طرح مقابله با حوادث و ترمیم خرابیها
      • برنامه آگاهی‌رسانی امنیتی کاربران
      • برنامه آموزش های امنیتی
 
  • شرح وظایف مدیر امنیت:
    • تهیه پیش نویس سیاستهای امنیتی و ارائه به کمیته راهبری امنیت
    • تهیه طرح‌ها و برنامه‌های امنیت سازمان با کمک واحد مشاوره و طراحی
    • نظارت بر اجرای کامل سیاستهای امنیتی
    • مدیریت ونظارت بر واحد پشتیبانی امنیت سازمان
    • تشخیص ضرورت و پیشنهاد بازنگری و اصلاح سیاستهای امنیتی
    • تهیه پیش نویس تغییرات سیاستهای امنیتی
 
  • شرح وظایف پشتیبانی حوادث امنیتی :
    • مرور روزانه Log فایروالها، مسیریابها، تجهیزات گذرگاههای ارتباط با سایر شبکه‌ها و سرویس‌دهنده‌های شبکه داخلی و اینترنت دستگاه، بمنظور تشخیص اقدامات خرابکارانه و تهاجم.
    • مرور ترددهای انجام شده به سایت و Data Centre و گزارش اقدامات انجام شده توسط کارشناسان و مدیران سرویسها.
    • مرور روزانه گزارش سیستم تشخیص تهاجم به منظور تشخیص تهاجم‌های احتمالی.
    • انجام اقدامات لازم بمنظور کنترل دامنه تهاجم جدید.
    • ترمیم خرابیهای ناشی از تهاجم جدید.
    • مستندسازی و ارائه گزارش تهاجم تشخیص داده شده به تیم هماهنگی و آگاهی‌رسانی امنیتی.
    • اعمال تغییرات لازم در سیستم امنیت شبکه، بمنظور مقابله با تهاجم جدید.
    • مطالعه و بررسی تهاجم‌های جدید و اعمال تنظیمات لازم در سیستم تشخیص تهاجم و سایر بخشهای سیستم امنیت شبکه.
    • ارائه پیشنهاد در خصوص تغییرات لازم در سیستم امنیتی شبکه بمنظور مقابله با تهدیدهای جدید، به مدیر امنیت شبکه.
    • آگاهی‌رسانی به کاربران شبکه در خصوص روشهای جدید نفوذ به سیستم‌ها و روشهای مقابله با آن، آسیب‌پذیریهای جدید ارائه شده برای سیستم‌های مختلف و روشهای بر طرف نمودن آنها.
 
  • بررسی و در صورت نیاز، انتخاب، خرید و تست نرم افزار ضدویروس مناسب برای ایستگاههای کاری و سرویس دهنده‌های شبکه دستگاه به صورت دوره‌ای ( هر سال یکبار)
  • نصب نرم‌افزار ضدویروس روی ایستگاههای کاری مدیران و ارائه اطلاعات لازم به سایر کاربران، جهت نصب نرم‌افزار.
  • نصب نرم‌افزار ضدویروس روی کلیه سرویس‌دهنده‌های شبکه دستگاه.
  • تهیه راهنمای نصب و Update نمودن نرم‌افزار ضدویروس ایستگاههای کاری و سرویس‌دهنده‌ها و ارائه آن به کاربران شبکه از طریق واحد هماهنگی و آگاهی‌رسانی امنیتی.
  • مرور روزانه Log و گزارشات نرم‌افزارهای ضد ویروس.
  • مطالعه و بررسی ویروسهای جدید و روشهای مقابله با آن.
  • ارائه روشهای مقابله با ویروسها به تیم هماهنگی و آگاهی‌رسانی امنیتی، جهت اعلام به کاربران و انجام اقدامات لازم.
  • انجام اقدامات پیشگیرانه لازم بمنظور کنترل دامنه تاثیر ویروسهای جدید.
  • ترمیم خرابیهای ناشی از ویروسهای جدید.
مستندسازی و ارائه گزارشهای آماری از ویروسها، مقابله با آنها و خرابیهای ناشی از ویروسها در شبکه دستگاه، به تیم هماهنگی و آگاهی‌رسانی امنیتی.
  • انتخاب ابزارهای مناسب جهت محافظت فیزیکی از تجهیزات و سرمایه‌های شبکه در مقابل حوادث فیزیکی و دسترسی‌های غیرمجاز .
  • مرور روزانه رویدادنامه‌های دسترسی فیزیکی به سرمایه‌های شبکه، بویژه در سایت.
  • سرکشی دوره‌ای به سایت، تجهیزات مستقر در طبقات ساختمانها و مسیر عبور کابلها به منظور اطمینان از تامین امنیت فیزیکی آنها.
  • مطالعه و بررسی حوادث فیزیکی جدید و روشهای مقابله با آن.
  • ارائه روشها به تیم هماهنگی و آگاهی‌رسانی امنیت جهت اعلام به کاربران و انجام اقدامات لازم.
  • انجام اقدامات لازم بمنظور کنترل دامنه حوادث فیزیکی.
  • ترمیم خرابیهای ناشی از حوادث فیزیکی.
  • مستندسازی و ارائه گزارشهای آماری از حوادث فیزیکی، مقابله با این حوادث و خرابیهای ناشی از آنها به تیم هماهنگی و آگاهی‌رسانی امنیتی.
  • ارائه پیشنهاد در خصوص Update نمودن تجهیزات و روشهای تامین امنیت فیزیکی به مدیر امنیت شبکه.
  • ارائه اطلاعات لازم جهت آگاهی رسانی به کاربران در خصوص حوادث فیزیکی، توسط تیم هماهنگی و آگاهی‌رسانی امنیتی.
  • شرح وظایف نظارت و بازرسی
    • مانیتورینگ ترافیک شبکه ( در حیطه مانیتورینگ مجاز )
    • بازرسی دوره ای از ایستگاههای کاری، سرویس‌دهنده‌ها، تجهیزات شبکه و سایر سخت‌افزارهای موجود شبکه، به منظور اطمینان از رعایت سیاستهای امنیتی مربوطه.
    • بازرسی دوره ای از سخت‌افزارهای خریداری شده و تطبیق پروسه "سفارش، خرید، تست، نصب و پیکربندی سخت‌افزارهای شبکه دستگاه" با سیاستهای مربوطه.
    • بازرسی دوره ای از نرم‌افزارهای موجود شبکه به منظور اطمینان از رعایت سیاستهای امنیتی مربوطه.
    • بازرسی دوره ای از نرم‌افزارهای خریداری شده و تطبیق پروسه "سفارش، خرید، تست، نصب و پیکربندی نرم‌افزارهای شبکه دستگاه" با سیاستهای مربوطه.
    • بازرسی دوره ای از نحوه اتصال شبکه داخلی و شبکه دسترسی به اینترنت دستگاه، با سایر شبکه‌های مجاز، بر اساس سیاستهای امنیتی مربوطه.
    • بازرسی دوره ای از اطلاعات شبکه دستگاه به منظور اطمینان از رعایت سیاستهای امنیتی مربوطه.
    • بازرسی دوره ای از کاربران شبکه دستگاه به منظور اطمینان از آگاهی کاربران از حقوق و مسئولیتهای خود و رعایت سیاستهای امنیتی مرتبط با خود.
    • بازرسی دوره ای از روند تهیه اطلاعات پشتیبان.
    • بازرسی دوره ای از روند تشخیص و مقابله با حوادث امنیتی در شبکه دستگاه.
    • بازرسی دوره ای از روند تشخیص و مقابله با ویروس در شبکه دستگاه.
    • بازرسی دوره ای از روند تشخیص و مقابله با ویروس در شبکه دستگاه
    • بازرسی دوره ای از روند تشخیص و مقابله با حوادث فیزیکی در شبکه دستگاه
    • بازرسی دوره ای از روند نگهداری سیستم امنیتی شبکه در شبکه دستگاه
    • بازرسی دوره ای از روند مدیریت تغییرات در شبکه دستگاه
    • بازرسی دوره ای از روند آگاهی‌رسانی امنیتی به کاربران شبکه دستگاه
    • بازرسی دوره ای از روند آموزش پرسنل واحد پشتیبانی امنیت شبکه دستگاه
بازرسی دوره ای از روند واگذاری فعالیت‌ها به پیمانکاران خارج از دستگاه
  • شرح وظایف مدیریت تغییرات
    • بررسی درخواست خرید، ایجاد یا تغییر سخت‌افزارها، نرم‌افزارها، لینکهای ارتباطی، سیستم‌عاملها و سرویسهای شبکه از دیدگاه امنیت شبکه، آسیب‌پذیریهای سیستم یا سرویس مورد نظر، مشکلات امنیتی ناشی از بکارگیری آن بر سایر بخشهای شبکه و نهایتا تصمیم‌گیری در خصوص تائید یا رد درخواست.
    • بررسی آسیب‌پذیری سخت‌افزار، نرم‌افزار کاربردی، سیستم عامل، خطوط ارتباطی و سرویسها و امنیت شبکه.
    • آگاهی‌رسانی به طراحان شبکه و امنیت شبکه در خصوص آسیب‌پذیری فوق، بمنظور لحاظ نمودن در طراحی.
    • ارائه گزارش بررسی‌ها به تیم هماهنگی و آگاهی‌رسانی امنیت شبکه.
    • بررسی موارد مربوط به جابجائی کاربران شبکه و پرسنل تشکیلات امنیت شبکه بمنظور تغییر در دسترسی و حدود اختیارات آنها در دسترسی به سرمایه‌های شبکه.
    • بررسی نیازمندیهای امنیتی و روشهای ایمن‌سازی سیستم عاملها، سرویس‌دهنده‌های شبکه، خطوط ارتباطی، نرم‌افزارها، تجهیزات شبکه و امنیت شبکه جدید که بکارگیری آنها در شبکه، مورد تائید قرار گرفته است.
    • ارائه دستورالعمل‌های ایمن‌سازی و پیکربندی امن برای هر یک از موارد فوق
  • شرح وظایف نگهداری امنیت
    • بررسی وضعیت عملکرد سیستم امنیتی شبکه، شامل:
      • عملکرد صحیح فایروالها.
      • عملکرد صحیح سیستم تشخیص تهاجم.
      • عملکرد صحیح سیستم ثبت وقایع.
      • عملکرد صحیح سیستم تهیه نسخه پشتیبان.
    • ارائه گزارشات دوره ای در خصوص عملکرد سیستم امنیتی
    • ارائه گزارشات آماری از وضعیت سیستم امنیتی شبکه.
    • رفع اشکالات تشخیص داده شده در عملکرد سیستم امنیتی
  برنامه PLAN استقرار ISMS شامل تعیین خط مشی ها، اهداف، فرایندها و روالها به منظور مدیریت مخاطرات در راستای اهداف سازمان است. در این مرحله، باید سرمایه اولیه راه اندازی ISMS، روشهای مستند سازی، مدیریت مخاطرات وروشهای اختصاص منابع مشخص شود. باید مطمئن شد که“ محتوا و محدوده ISMS بطور دقیق و مناسب مشخص شده است“. فعالیتهای مورد نیاز در این مرحله عبارت‌اند از: ۱- تعریف محدوده (Scope) ۲ - تعریف خط مشی ISMS ۳ - تعیین تهدیدات ۴ - ارزیابی تهدیدات ۵ - انتخاب کنترل‌های مناسب اجرا   Do در این مرحله کلیه کنترل‌ها‌بایدعملیاتی شوند رویه‌هایی برای تشخیص سریع و پاسخگویی به حوادث لازم می باشد. آگاه نمودن کلیه کارمندان و افراد سازمان نسبت به امنیت در سازمان آموزشهای لازم جهت عملکرد مناسب برای برخورد با ریسک و تهدید خلاصه ای از فعالیتهای این مرحله عبارت است از: _ فرموله کردن طرح برخورد با مخاطرات _ اجرای طرح برخورد با مخاطرات _ پیاده سازی کنترل‌های امنیتی انتخاب شده _ اجرای برنامه های آموزش و آگاهی‌رسانی _ مدیریت منابع و فعالیتها بررسی Check هدف این مرحله اطمینان ازاجرای بموقع کنترل‌های امنیتی و برآورده شدن اهداف امنیت اطلاعات است. ارزیابی میزان کارایی و مؤثر بودن ISMS اجرای روالهای ارزیابی و مرور فرایندها و خط مشی ها انجام بازرسیهای دوره‌ای درون سازمانی و برون سازمانی فعالیتهای کنترلی متنوع بازرسیهای داخلی ISMSومدیریت بازبینی از مراحل پیاده سازی امنیت نتایج حاصل از بازبینی سیستم‌های تشخیص نفوذ،واقعه نگاری، دسترسیهای غیرمجازبه شبکه و عبور از سیستم‌های امنیتی ، جهت بهبود عملکرد سیستم امنیتی شبکه، استفاده و سپس در سیاستهای امنیتی شبکه اعمال می شود. اقدام ACT اقدامات اصلاحی در جهت بهبود ISMS براساس نتایج مرحله ارزیابی   این اقدامات در دو مقوله طبقه بندی میگردد. ۱ - بر اساس مرحله خاصی از زمان : در زمان تعامل فناوری با اطلاعات، عکس العمل لازم در برابر یک مشکل امنیتی   میتواند از نوع پیشگیرانه (کنشی) یا اصلاحی (واکنشی) باشد. ۲- بر اساس سطوح پیاده سازی نظامهای امنیتی: فناوری امنیت اطلاعات،از نوع واکنشی ویااز نوع کنشی را می توان در سه سطح‌، شبکه‌، میزبان، برنامه های کاربردی‌، پیاده‌سازی نمود.     ممیزی داخلی سازمان در حوزه کاری (Scope )
  • در این مرحله که پس از اتمام کار صورت می گیرد با توجه به چک لیست ها و مستندات مربوط به سرممیزی استاندارد ISO 27001 , توسط شخص یا تیم ممیز کننده ، کلیه فعالیت های انجام گرفته در پروژه بازبینی و بررسی می گردند تا در صورتیکه انحرافی نسبت به اهداف استاندارد وجود دارد ، سریعا برطرف گردد .
  • پس از پایان این مرحله و بعد از برطرف کردن نقاط ضعف موجود ، سازمان آماده دریافت گواهینامه بین‌المللی استاندارد ISO 27001 می باشد .
صدور گواهینامه بینالمللی استانداردISO 27001
  • در پایان پروژه و پس از اینکه تشخیص داده شد که سازمان آماده دریافت گواهینامه می باشد و در صورت تمایل مدیریت سازمان ، از یک مرکز تصدیق معتبر (Certification Body - CB) برای صدور گواهینامه دعوت بعمل می آید .
  مزایای دریافت گواهینامه
  • افزایش اعتبار سازمان
  • تضمین پاسخگویی
  • تسریع بهبود فرایند ها
  • تضمین تعهد مدیریت
  • تمایل یافتن مشتریان
  • ایجاد انگیزه در کارکنان
 
ادامه مطلب

جشنواره داغ تابستانه بنیاد

بازدید : 5372 دسته :

بنیاد آموزش مجازی ایرانیان

مدرگ professorship

تلگرام بنیاد آموزش مجازی ایرانیان

اینستاگرام بنیاد آموزش مجازی ایرانیان

تماس با بنیاد آموزش مجازی

ادامه مطلب
تخفیف رمضان بنیاد

جشنواره فضیلت رمضان بنیاد آموزش مجازی ایرانیان

بازدید : 727 دسته :

تخفیف رمضان بنیاد

تخفیف رمضان بنیاد

تلگرام بنیاد آموزش مجازی ایرانیان

اینستاگرام بنیاد آموزش مجازی ایرانیان

اطلاعات تماس بنیاد


«رمضان» در لغت از «رمضاء» به معنای شدت حرارت گرفته شده و به معنای سوزانیدن می باشد.(۱) چون در این ماه گناهان انسان بخشیده می شود، به این ماه مبارک رمضان گفته اند. پیامبر اکرم(ص) می فرماید: «انما سمی الرمضان لانه یرمض الذنوب؛(۲) ماه رمضان به این نام خوانده شده است، زیرا گناهان را می سوزاند.» رمضان نام یکی از ماه های قمری و تنها ماه قمری است که نامش در قرآن آمده است و یکی از چهار ماهی است که خداوند متعال جنگ را در آن حرام کرده است.(مگر جنبه دفاع داشته باشد.) در این ماه کتاب های آسمانی قرآن کریم، انجیل، تورات، صحف و زبور نازل شده است.(۳) این ماه در روایات اسلامی ماه خدا و میهمانی امت پیامبر اکرم(ص) خوانده شده و خداوند متعال از بندگان خود در این ماه در نهایت کرامت و مهربانی پذیرایی می کند؛ پیامبر اکرم(ص) می فرماید: «ماه رجب ماه خدا و ماه شعبان ماه من و ماه رمضان، ماه امت من است،(۴) هر کس همه این ماه را روزه بگیرد بر خدا واجب است که همه گناهانش را ببخشد، بقیه عمرش را تضمین کند و او را از تشنگی و عطش دردناک روز قیامت امان دهد.»(۵) این ماه، در میان مسلمانان از احترام، اهمیت و جایگاه ویژه ای برخوردار و ماه سلوک روحی آنان است و مؤمنان با مقدمه سازی و فراهم کردن زمینه های معنوی در ماه های رجب و شعبان هر سال خود را برای ورود به این ماه شریف و پربرکت آماده می کنند، و با حلول این ماه با شور و اشتیاق و دادن اطعام و افطاری به نیازمندان، شب زنده داری و عبادت، تلاوت قرآن، دعا، استغفار، دادن صدقه، روزه داری و... روح و جان خود را از سرچشمه فیض الهی سیراب می کنند.

فضائل ماه رمضان

گرچه ذکر تمام فضائل ماه مبارک رمضان از حوصله این مقال خارج است؛ ولی پرداختن و ذکر برخی از فضائل آن از نظر قرآن و روایات اسلامی خالی از لطف نیست.

۱٫ برترین ماه سال

ماه مبارک رمضان به جهت نزول قرآن کریم در آن و ویژگی های منحصری که دارد در میان ماه های سال قمری برترین است؛ قرآن کریم می فرماید: «ماه رمضان ماهی است که قرآن برای هدایت انسان ها در آن نازل شده است.»(۶) پیامبر گرامی(ص) درباره ماه رمضان می فرماید: «ای مردم! ماه خدا با برکت و رحمت و مغفرت به شما روی آورد، ماهی که نزد خدا از همه ماه ها برتر و روزهایش بر همه روزها و شب هایش بر همه شب ها و ساعاتش بر همه ساعات برتر است، ماهی است که شما در آن به میهمانی خدا دعوت شده و مورد لطف او قرار گرفته اید، نفس های شما در آن تسبیح و خوابتان در آن عبادت، عملتان در آن مقبول و دعایتان در آن مستجاب است.... بهترین ساعاتی است که خداوند به بندگانش نظر رحمت می کند... .»(۷)

۲٫ نزول کتب آسمانی در این ماه

تمام کتب بزرگ آسمانی مانند: قرآن کریم، تورات، انجیل، زبور، صحف در این ماه نازل شده است. حضرت امام صادق(ع) می فرماید: «کل قرآن کریم در ماه رمضان به بیت المعمور نازل شد، سپس در مدت بیست سال بر پیامبر اکرم(ص) و صحف ابراهیم در شب اول ماه رمضان و تورات در روز ششم ماه رمضان، انجیل در روز سیزدهم ماه رمضان و زبور در روز هیجدهم ماه رمضان نازل شد.»(۸)

۳٫ توفیق روزه

در ماه رمضان خداوند متعال توفیق روزه داری را به بندگانش داده است؛ «پس هر که ماه [رمضان] را درک کرد، باید روزه بگیرد.»(۹) انسان افزون بر جنبه مادی و جسمی، دارای بُعد معنوی و روحی هم هست و هر کدام در رسیدن به کمال مطلوب خود، برنامه های ویژه را نیاز دارند، یکی از برنامه ها برای تقویت و رشد بُعد معنوی، تقوا و پرهیزگاری است؛ یعنی اگر انسان بخواهد خودش را از جنبه معنوی رشد و پرورش دهد و به طهارت و کمال مطلوب برسد، باید هوای نفس خود را مهار کند و موانع رشد را یکی پس از دیگری بر دارد و خود را سرگرم لذت ها و شهوات جسمی نکند. یکی از اعمالی که در این راستا مؤثر و مفید است روزه داری است، قرآن کریم می فرماید: «... ای افرادی که ایمان آورده اید! روزه بر شما نوشته شد، همان گونه که بر پیشینیان از شما نوشته شده، تا پرهیزگار شوید.»(۱۰)

برخی از فواید و فضائل روزه:

الف. تقویت تقوا، پرهیزگاری واخلاص؛(۱۱) امام صادق(ع) می فرماید: خداوند متعال فرموده: «روزه از من است و پاداش آن را من می دهم.»(۱۲)

حضرت فاطمه(س) می فرماید: «خداوند روزه را برای استواری اخلاص، واجب فرمود.»(۱۳)

ب. مانع عذاب های دنیوی و اخروی:

امام علی(ع) می فرماید: «روزه روده را باریک می کند گوشت را می ریزد و از گرمای سوزان دوزخ دور می گرداند.»(۱۴) پیامبر اکرم(ص) می فرماید: «روزه سپری در برابر آتش است.»(۱۵)

ج. آرامش روان و جسم:

روزه داری روح و روان و قلب و دل و نیز جسم را آرامش داده و باعث سلامتی روح و تندرستی جسم می شود. پیامبر اکرم(ص) می فرماید: «روزه بگیرید تا سالم بمانید.» باز می فرماید: «معده خانه تمام دردها و امساک [روزه [بالاترین داروهاست.»(۱۶) حضرت امام باقر(ع) می فرماید: «روزه و حج آرام بخش دلهاست.»(۱۷) حضرت علی(ع) می فرماید: «خداوند بندگان مؤمن خود را به وسیله نمازها و زکات و حدیث در روزه داری روزه های واجب [رمضان[ برای آرام کردن اعضا و جوارح آنان، خشوع دیدگانش و فروتنی جان هایشان و خضوع دلهایشان حفظ می کنند.»(۱۸) امروزه در علم پزشکی و از نظر بهداشت و تندرستی نیز در جای خود ثابت شده که روزه داری تأثیرهای فراوانی بر آرامش روح و روان و سلامتی جسم و بدن دارد، دفع چربی های مزاحم، تنظیم فشار، قند خون، و... نمونه آن است.(۱۹)

د. مانع نفوذ شیطان:

امام علی(ع) به پیامبر اکرم(ص) عرض کرد: یا رسول الله! چه چیزی شیطان را از ما دور می کند؟ پیامبرگرامی(ص) فرمود: روزه چهره او را سیاه می کند و صدقه پشت او را می شکند.»(۲۰) بنابراین، روزه مانع نفوذ شیطان های جنی و انسی شده و وسوسه های آنان را خنثی می کند.

ه . مساوات بین غنی و فقیر:

انسان روزه دار در هنگام گرسنگی و تشنگی، فقرا و بینوایان را یاد می کند و در نتیجه به کمک آن ها می شتابد. حضرت امام حسن عسگری(ع) درباره علت وجوب روزه می فرماید: «تا توانگر درد گرسنگی را بچشد و در نتیجه به نیازمند کمک کند.»(۲۱)

و. احیاء فضائل اخلاقی

حضرت امام رضا(ع) درباره علت وجوب روزه می فرماید: «تا مردم رنج گرسنگی و تشنگی را بچشند و به نیازمندی خود در آخرت پی ببرند و روزه دار بر اثر گرسنگی و تشنگی خاشع، متواضع و فروتن، مأجور، طالب رضا و ثواب خدا و عارف و صابر باشد و بدین سبب مستحق ثواب شود،... روزه موجب خودداری از شهوات است، نیز تا روزه در دنیا نصیحت گر آنان باشد و ایشان را در راه انجام تکالیفشان رام و ورزیده کند و راهنمای آنان در رسیدن به اجر باشد و به اندازه سختی، تشنگی و گرسنگی که نیازمندان و مستمندان در دنیا می چشند پی ببرند و در نتیجه، حقوقی که خداوند در دارایی هایشان واجب فرموده است، به ایشان بپردازند... .»(۲۲) و... .

۴٫ وجود شب قدر در این ماه

شب قدر از شب هایی که برتر از هزار ماه است و فرشتگان در این شب به اذن خدا فرود می آیند و جمیع مقدرات بندگان را در طول سال تعیین می کنند(۲۳) و وجود این شب در این ماه مبارک نعمت و موهبتی الهی بر امت پیامبر گرامی اسلام(ص) است و مقدرات یک سال انسان ها (حیات، مرگ، رزق و...) براساس لیاقت ها و زمینه هایی که خود آنها به وجود آورده اند تعیین می شود و انسان در چنین شبی با تفکر و تدبر می تواند به خود آید و اعمال یک سال خود را ارزیابی کند و با فراهم آوردن زمینه مناسب بهترین سرنوشت را برای خود رقم زند.(۲۴) حضرت امام صادق(ع) می فرماید: «تقدیر مقدرات در شب نوزدهم و تحکیم آن در شب بیست و یکم و امضاء آن در شب بیست و سوم است.»(۲۵)

۵٫ بهار قرآن

نظر به این که قرآن کریم در ماه مبارک رمضان نازل شده و تلاوت آیات آن در این ماه فضیلت بسیاری دارد، در روایات اسلامی، از ماه رمضان به عنوان بهار قرآن یاد شده است؛ چنان که حضرت امام باقر(ع) می فرماید: «هر چیزی بهاری دارد و بهار قرآن ماه رمضان است.»(۲۶)

یک نکته!

بدیهی است فضائل و ثواب هایی که برای ماه مبارک رمضان و روزه داری ذکر شده و به برخی از آن ها اشاره شد، از آنِ کسانی است که حقیقت آن را درک کنند و به محتوای آن عمل و در گفتار و کردار به کار گیرند و به آن ها جامه عمل بپوشانند. چنان در روایات اسلامی برای روزه داری آدابی ذکر شده و کسانی که صرفاً تلاوت قرآن می کنند، ولی به آیات و احکام آن عمل نمی کنند و یا آن که از روزه داری تنها رنج گرسنگی و تشنگی را می کشند و بوسیله گناه، تأثیر روزه را از بین می برند و ماه مبارک رمضان و فضای معنوی آن تأثیری بر اشخاصی بر جای نمی گذارد، مورد نکوهش قرار گرفته اند. چنان که پیامبر اکرم(ص) به زنی که با زبان روزه کنیز خود را دشنام می داد فرمود: چگونه روزه داری و حال آن که کنیزت را دشنام می دهی؟! روزه فقط خودداری از خوردن و آشامیدن نیست، بلکه خداوند آن را علاوه بر این دو، مانع کارها و سخنان زشت که روزه را بی اثر می کنند قرار داده است، چه اندکند روزه داران و چه بسیارند کسانی که گرسنگی می کشند.»(۲۷) حضرت امام سجاد(ع) در دعای حلول ماه رمضان به درگاه خداوند عرض می کند: به وسیله روزه این ماه یاریمان ده تا اندام های خود را از معاصی تو نگه داریم و آن ها را به کارهایی گیریم که خشنودی تو را فراهم آورد، تا با گوش هایمان سخنان بیهوده نشنویم و با چشمانمان به لهو و لعب نشتابیم و تا دستمانمان را به سوی حرام نگشاییم و با پاهایمان به سوی آن چه منع شده ره نسپاریم و تا شکمهایمان جز آن چه را تو حلال کرده ای در خود جای ندهد و زبان هایمان جز به آن چه تو خبر داده ای و بیان فرموده ای گویا نشود... .»(۲۸) بنابراین، در ماه مبارک باید تمام اعضا و جوارح را از حرام دور نگه داشت و با اخلاص، توکل و توسل از اهل بیت(ع) و عمل به دستورها و احکام قرآن کریم و دوری از گناهان، انجام توبه نصوح و واقعی، عبادت، شب زنده داری، درک فضیلت شب قدر و... فضیلت ماه مبارک رمضان را درک کرد و از آن در راستای رسیدن به کمال حرکت کرد و باید در این ماه به گونه ای خودسازی کرد که با اتمام ماه مبارک تأثیر و فواید آن در روح و جان افراد باقی باشد و اثر آن تا ماه رمضان سال بعد ماندگار باشد.

پی نوشت ها:      ـــــــــــــــــــــــ

۱٫ مفردات الفاظ القرآن، راغب اصفهانی، ص ۲۰۹، دارالکتاب العربی، بیروت. ۲٫ بحارالانوار، علامه مجلسی، ج ۵۵، ص ۳۴۱، مؤسسه الوفاء، بیروت. ۳٫ ر.ک: الکافی، محمد بن یعقوب کلینی، ج ۲، ص ۶۲۸، دارالکتب الاسلامیه، تهران. ۴٫ وسائل الشیعه، شیخ حر عاملی، ج ۲، ص ۶۲۸، دارالکتب الاسلامیه، تهران. ۵٫ ... ۶٫ سوره بقره، آیه ۱۸۵٫ ۷٫ ر.ک: وسائل الشیعه، همان، ج ۱۰، ص ۳۱۳٫ ۸٫ ر.ک: الکافی، همان، ج ۲ ،ص ۶۲۸٫ ۹٫ سوره بقره، آیه ۱۸۵٫ ۱۰٫ سوره بقره، آیه ۱۸۳٫ ۱۱٫ همان. ۱۲٫ میزان الحکمه، محمد محمدی ری شهری، ترجمه: حمیدرضا شیخی، ج ۷، ص ۳۲۰۷، مؤسسه دارالحدیث، قم. ۱۳٫ همان، ص ۳۲۰۹٫ ۱۴٫ همان. ۱۵٫ همان. ۱۶٫ همان. ۱۷٫ همان. ۱۸٫ همان. ۱۹٫ تفسیر نمونه، آیت الله مکارم شیرازی و دیگران، ج ۱ ،ص ۶۳۱، دارالکتب الاسلامیه، تهران. ۲۰٫ مستدرک الوسائل، محدث نوری، ج ۷، ص ۱۵۴، مؤسسه آل البیت، قم. ۲۱٫ میزان الحکمه، همان. ۲۲٫ همان، ص ۳۲۰۹٫ ۲۳٫ سوره قدر، آیه ۱ ـ ۵٫ ۲۴٫ تفسیر المیزان، علامه طباطبایی، ج ۱۸، ص ۱۳۲؛ ج ۱۹، ص ۹۰، مؤسسه مطبوعاتی اسماعیلیان، قم. ۲۵٫ وسائل الشیعه، همان، ج ۱۰، ص ۳۵۴٫ ۲۶٫ وسائل الشیعه، همان، ج ۶، ص ۲۰۳٫ ۲۷٫ الکافی، همان، ج ۴، ص ۸۷٫ ۲۸٫ الصحیفه السجادیه، امام سجاد(ع) ص ۱۸۶، دفتر نشر الهادی، قم.
ادامه مطلب

بازاریابی عصبی چیست ؟

بازدید : 144 دسته :

بازاریابی عصبی اخیرا مورد توجه فراوانی قرار گرفته است. این علم جدید تلفیق دو علم بازاریابی و عصب‌شناسی است. بازاریابی عصبی درک عملکرد مغز بدون وارد شدن در جزئیات پیچیده آن است تا از آن برای بهبود عملیات بازاریابی استفاده کنیم. این واژه برای اولین بار در سال ۲۰۰۲ مطرح شد و با استقبال چندانی روبرو نشد تا در سال‌های اخیر که این اصطلاح بخشی از سخنرانی‌های همایش‌ها و مقالات مختلف را به خود اختصاص داده است.

هدف بازاریابی عصبی انتقال بهتر پیام‌های بازاریابی به دیگران و افزایش احتمال خرید توسط مخاطب است. در نتیجه بودجه بازاریابی و تبلیغات کاهش می‌یابد.

مشکل ازدیاد پیام‌های تبلیغاتی

حتما قبول دارید که بازاریابی و تبلیغات بسیار سخت‌تر شده است. همکاران و رقیبان شما احتمالا آن قدر زیاد هستند که مدام حواس مشتریان را پرت می‌کنند. پیام‌های بازاریابی کم‌رنگ‌تر شده است. توجه به تبلیغات کمتر شده است. حال اگر کسب‌و‌کاری کوچک با بودجه محدود تبلیغاتی دارید چگونه می‌توانید توجه مشتریان احتمالی را به خود جلب کنید و حتی باعث شوید از شما خرید کنند؟ شاید پاسخ این پرسش در بازاریابی عصبی نهفته باشد.

سه مثال آشنا و ملموس

قبل از ورود به موضوع سه مثال ملموس می‌آوریم که نشان می‌دهد بازاریابی عصبی چیزی فراتر از عرضه محصول مناسب با قیمت مناسب است.

۱. خرید از فروشنده نامناسب

فرض کنید وارد فروشگاهی می‌شوید و از همان ابتدا احساس خوبی نسبت به فروشگاه ندارید. فروشنده بدون توجه به ورود شما به صحبت خود با تلفن ادامه می‌دهد و وانمود می‌کند شما را ندیده است. سپس با لحنی توهین‌آمیز با شما صحبت می‌کند و وقتی سؤالی فنی درباره محصول می‌پرسید می‌گوید: روی جعبه نوشته شده است، خودتان بخوانید! چقدر احتمال دارد از چنین فروشگاهی خرید کنید؟ شاید از خرید منصرف شوید. توجه کنید که  ما درباره محصول صحبت نکردیم. شاید محصول این فروشگاه بسیار عالی و قیمت آن مناسب باشد، ولی شما از خرید منصرف می‌شوید.

پس موضوع فقط محصول مناسب با قیمت مناسب نیست. رفتارهای خرید ما بسیار پیچیده‌تر از چیزی است که خیلی‌ها فکر می‌کنند و به عملکرد مغز مربوط است. اگر خیلی ساده بگوییم ما از کسانی خرید می‌کنیم که از آن‌ها خوشمان بیاید. اغلب فروشنده بسیار مهم‌تر از محصول است. در فصل‌های بعد بیشتر به این موضوع خواهیم پرداخت.

۲. خرید موبایل با برند ناآشنا

برای خرید موبایل به فروشگاه مراجعه می‌کنید. فروشنده سعی می‌کند برندی را به شما بفروشد که تا به حال اسمش را نشنیده‌اید. اسم آن بسیار عجیب و ناآشنا است. فروشنده به شما ثابت می‌کند تمام مشخصات فنی این موبایلِ ناشناخته بهتر از موبایلی است که شما می‌خواستید. حتی قیمتش هم بسیار ارزان‌تر است.

شما کمی با خود کلنجار می‌روید و در نهایت جرئت نمی‌کنید یک محصول ناشناخته بخرید که تمام خواسته‌های شما را برآورده می‌کند. بدون خرید از فروشگاه خارج می‌شوید.

دلیل این موضوع نیز به عملکرد مغزمان برمی‌گردد. تأثیر دیگران بر خریدهای ما بیش از چیزی است که تصورش را می‌کنیم. وقتی می‌خواهیم چیزی بخریم مهم‌ترین سؤال ذهنمان این است که دیگران در مورد خریدمان چه نظری خواهند داشت. آیا کار ما را تأیید خواهند کرد یا آن را کاری اشتباه خواهند دانست.

۳. خرید از سایتی که جعلی به نظر می‌رسد

دنبال خرید یک محصول آموزشی هستید. در گوگل به جستجو می‌پردازید. وارد سایتی می‌شوید که احساس می‌کنید نمی‌توان به آن اعتماد کرد. اگر دوستتان از شما بپرسد چرا این سایت را نامعتبر می‌دانید هیچ دلیل منطقی و قابل‌قبولی ندارید تا ارائه دهید. شاید روی جعبه محصول از عکس یک آقا با کراوات استفاده شده است. یا عکس‌های سایت به آن سایت متعلق نیست بلکه از سایت‌های خارجی گرفته شده است. به این نتیجه می‌رسید که این سایت حرفی برای گفتن ندارد و از خرید خود منصرف می‌شوید. شما محتویات محصول را ندیده‌اید و فقط از روی چند عکس به این نتیجه می‌رسید که خرید نکنید.

این مطلب را از دست ندهید:  ارائه مثبت در بازاریابی عصبی

دلیل این موضوع هم به مغز ما مربوط می‌شود. مغز قدیم که به زودی درباره‌اش توضیح خواهیم داد، اگر تشابهی احساس نکند احتمال خرید کمتر می‌شود. اگر با فردی که کراوات بسته تشابه نداریم سعی می‌کنیم از او خرید نکنیم. بلکه از فردی خرید کنیم که بیشتر شبیه خودمان است.


بازاریابی عصبی


آیا بازاریابی عصبی در کسب‌و‌کارهای کوچک قابل استفاده است؟

واژه بازاریابی عصبی بسیار علمی و پیچیده به نظر می‌رسد. همچنین اغلب کتاب‌ها و مقالات به کاربرد بازاریابی عصبی در شرکت‌های بسیار بزرگ و برندهای معروف می‌پردازند. ولی اغلب ایده‌های بازاریابی عصبی در کسب‌و‌کارهای کوچک قابل استفاده است. برخی از آن‌ها بسیار ساده‌تر و کم‌هزینه‌تر از چیزی است که تصور می‌کنید.

قصه از کجا شروع شد؟

اغلب شرکت‌های بزرگ قبل از تولید یک محصول تحقیقات بازار انجام می‌دادند تا محصول مورد علاقه مشتریان را تولید کنند. آن‌ها از مردم می‌پرسیدند که دوست دارید محصول بعدی ما چگونه باشد، رنگ بسته‌بندی چه باشد و چه خصوصیاتی داشته باشد. سپس با توجه به نتایج نظرسنجی و تحقیقات بازار محصولی جدید تولید می‌کردند. سپس اتفاق عجیبی رخ می‌داد. آن محصول جدید که دقیقاً با خواسته‌ها و سلایق مشتریان تولید شده بود با شکست مواجه می‌شد. همان افرادی که خودشان در نظرسنجی شرکت کرده بودند هیچ‌گاه محصول مورد نظر را خریداری نمی‌کردند.

بازاریابان کم‌کم به این نتیجه رسیدند که پاسخ اغلب افراد در تحقیقات بازار با رفتار خرید آن‌ها تفاوت دارد و گاهی کاملاً متناقض است. بنابراین همیشه نمی‌توان از مشتری پرسید که محصول مورد علاقه‌اش کدام است و سپس با تولید آن محصول به موفقیت رسید.

در آزمایش دیگری از افرادی که برای خرید نقاشی‌های گران‌قیمت به یک گالری مراجعه کرده بودند سؤال شد که چه نوع عکس‌هایی دوست دارد. پاسخ اغلب آن‌ها این بود: عکس‌های طبیعت. سپس رفتار خرید این افراد بررسی شد. اغلب آن‌ها عکس‌هایی غیر از عکس طبیعت خریداری کرده بودند!

آنچه مشتریان درباره سلیقه خود می‌گویند با خریدهای آن‌ها سازگار نیست!

آقای مالکولم گلادول در کتاب معروفش با نام «نقطه واژگونی» به این پدیده می‌پردازد. او توضیح می‌دهد که افراد مختلف هنگام ورود به کافی‌شاپ در نظرسنجی شرکت کردند که قهوه مورد علاقه‌شان چه قهوه‌ای است. اغلب افرادی که در نظرسنجی اعلام کرده بودند به قهوه تلخ و غلیظ علاقه دارند، بعد از چند دقیقه در همان کافی‌شاپ قهوه خود را کاملاً شیرین می‌کردند. بنابراین همیشه نمی‌توان به گفته‌های مشتریان اعتماد کرد. گاهی آن‌ها در مورد محصول نظراتی می‌دهند که با خریدهای خودشان تناقض دارد.

ورود به مغز انسان و برملا شدن راز

اگر مشتریان نیازهای واقعی خود را بر زبان نمی‌آورند و همواره نمی‌توان به گفته‌های آنان اعتماد کرد، پس راه‌حل چیست؟ در سال‌های اخیر دستگاه‌هایی با نام‌های EEG و fMRI و … ساخته شده که انواع کوچک و قابل‌حملی دارد که بر سر انسان نصب می‌شود و می‌تواند از مغز انسان عکس بگیرد. این دستگاه‌ها دریچه‌ای را برای ورود به مغز انسان باز کردند. دانشمندان و بازاریابان می‌توانند با بررسی عکس‌های مغز فردی که مثلاً در حال تصمیم‌گیری خرید است به دیدگاه موثق‌تر و جدیدتری دست یابند.

اگر خیلی ساده نحوه کار این دستگاه‌ها را توضیح دهیم، این گونه است که وقتی قسمت خاصی از مغز تحریک می‌شود، معمولاً خون با اکسیژن بیشتر به آن بخش مغز منتقل می‌شود. بنابراین دستگاه‌هایی نظیر fMRI با عکسی‌ که از مغز تهیه می‌کنند، می‌توانند مکان‌های تحریک‌شده در مغز را مشخص کنند.



دوره آموزشی بازاریابی عصبی

جهت ثبت نام در دوره آموزشی بازاریابی عصبی بر روی تصویر فوق کلیک نمایید

این دوره به صورت غیر حضوری برگزار می گردد و محتوای آموزشی الکترونیکی در قالب CD یا DVD ارسال می شود به آدرستان

پس از پایان دوره گواهی آموزشی رایگان و معتبر با قابلیت ترجمه رسمی دریافت می نمایید

مشاوره رایگان : ۰۲۱۲۸۴۲۸۴ و ۰۹۳۳۰۰۲۲۲۸۴ و ۰۹۳۳۰۰۳۳۲۸۴ و ۰۹۳۳۰۰۸۸۲۸۴ و ۰۹۳۳۰۰۹۹۲۸۴


مقایسه الگوها

بررسی الگوهای مختلف مغز حین انجام فعالیت‌های مختلف ما را به نتایج جالب و جدیدی سوق می‌دهد. مثلاً از مغز افراد مختلف در حال پرداخت پول در فروشگاه عکس گرفته‌شده و الگوی به دست آمده با الگوهای دیگر مقایسه می‌شود. سپس مشاهده می‌شود الگوی به دست آمده شباهت زیادی با عکس مغز وقتی که بدن در حال تحمل درد است دارد! وقتی به دست یک فرد سوزن می‌زنیم همان بخش مغز تحریک می‌شود که هنگام خرید تحریک می‌شود.

این مطلب را از دست ندهید:  ۳ ایده بازاریابی عصبی برای موفقیت وب‌سایت

بنابراین از این آزمایش نتیجه‌گیری می‌کنیم که فرد وقتی پول پرداخت می‌کند، در مغز بخش درد تحریک می‌شود و پرداخت پول برای مشتری معمولاً دردناک است، حتی اگر مشتری هیچ‌گاه این موضوع را بر زبان نیاورد!

بنابراین با انجام آزمایش‌های مختلف و فراوان به اطلاعاتی دست می‌یابیم که می‌تواند در بازاریابی و فروش بهتر محصولات و خدمات به ما کمک کند.

سه بخش اصلی مغز

برای بازاریابی بهتر لازم است آشنایی مختصری با مغز داشته باشیم. مغز به سه بخش عمده تقسیم می‌شود که از نظر ساختار سلولی و عملکرد باهم متفاوت هستند. با وجود اینکه این سه بخش بر فعالیت همدیگر تأثیر می‌گذارند و نمی‌توان به طور محض فعالیت مغزی خاصی را به یک بخش نسبت داد، ولی هر کدام از قسمت‌های مغز نقش ویژه‌ای دارند. این سه بخش مغز جدید، مغز میانی و مغز قدیم نام دارند.

مغز جدید معمولاً انجام کارهای تحلیلی و پیچیده را بر عهده دارد. تصمیمات منطقی، آموزش و کارهای ارادی ما با فرماندهی این بخش مغز انجام می‌شود. مغز جدید نتیجه تحلیل‌ها را به دو بخش دیگر نیز ارسال می‌کند.

مغز میانی بیشتر با موارد احساسی سر و کار دارد و اطلاعات حاصل را به دو بخش دیگر مغز مخابره می‌کند.

مغز قدیم عهده‌دار فعالیت‌های اصلی ما برای حفظ بقا است. خداوند این بخش را طوری طراحی کرده تا با دستورات صادره ادامه حیات ما امکان‌پذیر باشد.مثلاً وقتی گرسنه می‌شویم مغز قدیم دستور می‌دهد که به این مورد رسیدگی شود.

دوستانی که با رشته الکترونیک آشنا هستند با وقفه رد نشدنی آشنا هستند. مغز قدیم در واقع وقفه‌ای رد نشدنی صادر می‌کند که باید در اولین فرصت ممکن به آن رسیدگی شود. مواردی مانند تنفس نیز به مغز قدیم مربوط است. اگر این‌طور نبود شاید گاهی یادمان می‌رفت تنفس کنیم و زندگی ما به خطر می‌افتاد!

تصمیمات خرید

اما سؤال بسیار کلیدی آن است که تصمیمات خرید توسط کدام قسمت مغز انجام می‌شود؟ نکته مهمی که در بازاریابی سنتی به آن توجهی نمی‌شود این است که تصمیمات خرید ما اغلب با مغز قدیم انجام می‌شود! تا به حال بازاریابان فکر می‌کردند تمامی خریدها با بخش منطقی مغزمان انجام می‌شود. البته همیشه در طول تاریخ بازاریابان می‌دانستند که احساسات بر تصمیمات خرید تأثیر دارد. ولی اکنون مشخص شده است که تأثیرگذاری بخش احساسی و مغز قدیم بسیار فراتر از آن چیزی است که تصور می‌کردیم.

خانم لزلی هارت در کتاب «مغز چگونه کار می‌کند» توضیح می‌دهد که «شواهد نشان می‌دهد مغز قدیم قسمتی است که تعیین می‌کند ‌کدام بخش اطلاعات دریافتی برای پردازش به مغز جدید مخابره شود و کدام تصمیمات تایید شود یا رد شود».

پس اگر با عملکرد «مغز قدیم» بیشتر آشنا شویم می‌توانیم عملیات بازاریابی تأثیرگذارتری طراحی کنیم.

ادامه مطلب

آخرین دانلودهای رایگان


Warning: Invalid argument supplied for foreach() in /home/ebama/public_html/wp-content/themes/iranelearn/sidbar/sidbar1.php on line 42

دوره های آموزش مجازی دارای مدرک رایگان:

دوره آموزشی برنامه نویسی اندروید

دوره آموزشی آسیب شناسی ورزشی

دوره آموزشی پرورش جوجه گوشتی

دوره آموزشی civil 3d 2016

دوره آموزشی تکنیک های فروش در بازاریابی دولتی(B2G)

مباحث مسئولیت پذیری اجتماعی SA 8000

دوره آموزشی برق صنعتی

دوره آموزشی زبان تخصصی ارائه سمینار و مقالات

دوره آموزشی مدیریت اجرایی EMBA

دوره آموزشی مدیریت بازرگانی

دوره آموزشی روش ها و فنون تدریس

دوره آموزشی پدافند غیر عامل

دوره آموزشی مدل سازی و ابعاد سازه

دوره آموزشی نرم افزار کامفار

مباحث مدیریت فراگیر استاندارد ISIRI 13000

کارشناس طرح تجاری و خود اشتغالی

دوره آموزشی طراحی پست های برق

دوره آموزش مجازی زبان ایتالیایی

دوره آموزشی ماشین کاری

دوره آموزشی فلوئنت FLUENT

دوره آموزشی روانشناسی اجتماعی

دوره آموزشی آشنایی با ساخت عینک

دوره آموزشی روانشناسی بازی

دوره آموزشی مدیریت ایمیل با Outlook

دوره آموزشی مدیریت کسب و کار MBA گرایش مدیریت مالی ,بانکداری و سرمایه گذاری

دوره آموزشی طراحی آسان صفحات وب با دروپال

دوره آموزشی طراحی سازه ها با SAP

دوره آموزشی اصول ریخته گری

دوره آموزشی نرم افزار SPSS

دوره آموزشی مدیریت انگیزه خرید در مشتری

دوره آموزشی حقوق بین الملل عمومی

دوره آموزشی حسابداری با نرم افزار هلو

دوره آموزشی ساخت قالب های تزریق

دوره آموزشی Linux Ubuntu

دوره آموزشی کاربرد آمار در مدیریت

دوره آموزشی ایمنی در انبارها

مباحث مدیریت بحران با استاندارد ISO 22320

دوره آموزشی آمادگی آزمون TOEFL

دوره آموزشی کنترل صنعتی

دوره آموزشی صفحه آرایی با نرم افزار ایندیزاین InDesign

دوره آموزشی شیمی مواد

دوره آموزشی نرم افزار ایویوز EViews

دوره آموزشی روانشناسی یادگیری

دوره آموزشی مزاج شناسی

دوره آموزشی مدیریت اماکن ورزشی

مباحث دستورالعمل برای تامین کنندگان ISO 10393

دوره آموزشی کشت زعفران

دوره آموزشی داوری بین المللی

دوره آموزشی لیفتراک

دوره آموزشی زبان چینی

مباحث مشارکت شایسته افراد ISO 10018

دوره آموزشی زبان انگلیسی تخصصی مهمانداران

دوره آموزشی طرح تجاری Business Plan

مباحث سیستم مدیریت آموزش ISO 10015

دوره آموزشی مدیریت عالی و حرفه ای کسب و کار DBA گرایش مدیریت عمومی

دوره آموزشی اتوکد الکتریکال Autocad Electrical 2015

دوره آموزشی مدیریت کیفیت استاندارد ISO 9001

دوره آموزشی تکنولوژی حمل و نقل

دوره آموزشی آینه‌کاری

دوره آموزشی تحلیل سازه

دوره آموزشی آشنایی و ارزیابی سنگهای قیمتی

دوره آموزشی زبان برنامه نویسی uml

دوره آموزشی طراحی جواهرات

دوره آموزشی مدیریت هتلداری

مباحث مدیریت اطلاعات با استاندارد ISO 14051

مباحث مدیریت اندازه گیری تجهیزات غیرپزشکی ISO 10012

دوره آموزشی زبان انگلیسی تخصصی صنعت انرژی

دوره آموزشی مهارتهای هفتگانه رایانه (ICDL)

دوره آموزشی مدیریت امور شهری

دوره آموزشی باغبانی

دوره آموزشی اصول و مکانیک خاک

دوره آموزشی پاورپوینت PowerPoint

دوره آموزشی مدیریت عالی و حرفه ای کسب و کار DBA گرایش مدیریت رسانه

دوره آموزشی طراحی پی

دوره آموزشی نرم افزار PDMS

دوره آموزشی تاریخ جهان

دوره آموزشی سرویس و نگهداری دیزل ژنراتور

دوره آموزشی آسیب شناسی روانی

دوره آموزشیHTML5 Mobile Web Development

دوره آموزشی مدیریت کسب و کار MBA گرایش مدیریت شهری – شهرسازی

مباحث مدیریت زیست محیطی ISO 14001

مباحث مدیریت کیفیت صنایع نفت،گاز و پتروشیمی ISO/TS 29001

دوره آموزشی طراحی و تجهیز هتل

دوره آموزشی نتورک پلاس +NETWORK

دوره آموزشی حسابداری دولتی

دوره آموزشی Hysys

دوره آموزشی برنامه ریزی درسی آموزش ابتدایی

دوره آموزشی آمادگی آزمون IELTS

دوره آموزشی مدیریت کسب و کار MBA گرایش هوا فضا

دوره آموزشی کارشناس نگه داری حیوانات خانگی

دوره آموزشی زبان عربی

دوره آموزشی عکاسی معماری

دوره آموزشی روانشناسی ازدواج

دوره آموزشی نرم افزار GIS

دوره آموزشی مدیریت عالی و حرفه ای کسب و کار DBA گرایش مدیریت منابع انسانی

دوره آموزشی حقوق مدنی

مباحث مدیریت امنیت شبکه ISO 27033

دوره آموزشی آشنایی با آزمون های روانشناسی

دوره آموزشی لوله کشی صنعتی (پایپینگ)

مباحث سیستم مدیریت انرژی ISO 50001

راهنمای شرکت در دوره های مجازی:

آیا میدانید شما می توانید مرتبط با علاقه خود در دوره های آموزش مجازی بنیاد شرکت و بسته های آموزشی جامع درب منزل دریافت نموده و پس از پایان دوره برای خود مدرک معتبر ملی و بین المللی اخذ نمایید ؟

01 ثبت نام آنلاین در دوره های مورد نظر
02 دریافت بسته آموزشی و مطالعه محتوا
03 شرکت در ارزیابی آنلاین و ارسال پروژه
04 دریافت مدرک پایان دوره درب منزل

کلیپ های آموزشی مرتبط با برندسازی:

چگونه موز سیاه شده را زرد کنیم

کلید موفقیت چیست؟ ثابت قدمی

چرا مدرسه ای بر روی ابر ها باید ساخته شود؟

ایا ضریب هوشی ما بیشتر از نیاکانمان است؟

چگونه از مغز ها یاد بگیریم؟

چگونه پس انداز کنیم؟

چگونه گاز طبیعی را به انرژی تبدیل کنیم؟

چگونه به گرسنگی پایان دهیم؟

چگونه سیاره ای شاد داشته باشیم؟

جرا ما به اکتشاف نیاز داریم؟

جگونه درک متفاوتی ازخوشبختی داشته باشیم؟

چگونه یک چنگل بسازیم؟

پیشرفت در عصر تصاویر سه بعدی

چگونه فناوری تغییر شکل اینده را تغییر میدهد؟

چگونه به کودکان کار با کامپیوتر را اموزش دهیم؟

چگونه جرم ها با هواپیما جابجا میشوند؟

چگونه بچه ها را به یاد گیری تشویق کنیم؟

چگونه طراحی بهتری داشته باشیم؟

چرا طراحی پرچم ها طاحی بدی دارند؟

چگونگی رفتن به درون کامپیوتر و برداشتن یک پیکسل

چگونه فقر را کاهش دهیم؟

چگونه اینده ای بدون ترافیک داشته باشیم؟

اثر معماری که حس میکند و پاسخ میدهد

چگونه وسایل دور ریختنی را به اسباب بازی تبدیل کنیم؟

چگونه میتوان از مواد خام توستر ساخت؟

چگونه مسایل پیچیده را اسان کنیم؟

ساخت گوش مصنوعی

چگونه خلاقیت جمعی را مدیریت کنیم؟

فرم درخواست مشاوره رایگان :

اهدافی که تمایل دارید بنیاد در راه رسیدن به آن ها مشاور شما باشد :

اطلاعات تماس با کارشناسان بنیاد:

تلفن ثابت: (داخلی ۲)

۰۲۱۲۸۴۲۸۴

کارشناس آموزش: (تا ساعت ۲۴)

۰۹۳۳۰۰۲۲۲۸۴

کارشناس آموزش:

۰۹۱۳۰۰۰۱۶۸۸

مشاور آموزش ۱:

۰۹۳۳۰۰۸۸۲۸۴

مشاور آموزش ۲:

۰۹۳۳۰۰۲۲۲۸۴

صدور و استعلام مدارک:

۰۹۳۳۰۰۵۵۲۸۴

اخذ همکاری و نمایندگی:

۰۹۳۳۰۰۴۴۲۸۴

پشتیبانی آنلاین
کارت ویزیت

در هر کسب و کاری که هستید ما به شما کمک می کنیم تا رزومه فردی و رزومه بنگاه اقتصادی خود را تقویت نمایید و فروش خود را افزایش دهید:

مزایای اخذ مدرک ایزو معتبر :

تسهیل شرایط اخذ مجوزهای گوناگون

ارتقاء سطح سازمان و افزایش رضایت

کسب امتیاز در مناقصه و مزایده ها

افزایش نفوذ تبلیغات و تقویت برند

فروش و مشتریان خود را افزایش دهید

اولین نرم افزار بانک اطلاعات مشاغل دارای مجوز در کشور

اطلاعات مشاغل بیش از ۲ میلیون بنگاه اقتصادی

جستجوی پیشرفته | امکان سفارشی سازی | امکان ارسال پیامک